Quand le cyberespace devient un champ de bataille | Axis Insurance

Les enseignements tirés de l'attaque contre le Stryker, liée à l'Iran

Pourquoi toutes les entreprises occidentales doivent réévaluer leur exposition aux risques cybernétiques dans un contexte géopolitique

De la cybercriminalité à la perturbation stratégique

La cyberattaque contre Stryker, attribuée à l’Iran, marque une rupture avec la cybercriminalité traditionnelle à motivation financière. Contrairement aux attaques par ransomware, il n’y a pas eu de tentative manifeste de monétiser cette intrusion. Les systèmes ont été perturbés, des données ont été exfiltrées et, surtout, des données et des infrastructures auraient été intentionnellement supprimées ou rendues inutilisables. L’objectif était de causer un impact, et non d’obtenir un rançon.

Stryker, une entreprise mondiale spécialisée dans les technologies médicales et étroitement liée aux services et aux infrastructures de santé, incarne le type d’organisation dont la perturbation a des répercussions qui dépassent le cadre de son propre bilan financier, ce qui en fait une cible stratégiquement importante dans un contexte géopolitique plus large, plutôt qu’une simple victime de cybercriminalité opportuniste.

Selon des informations récentes, cette activité ne serait pas un cas isolé. L'incident de Stryker s'inscrit dans le cadre d'une campagne plus large d'attaques liées à l'Iran visant plusieurs organisations américaines du secteur industriel et des infrastructures, ce qui laisse supposer une action coordonnée plutôt qu'une simple intrusion opportuniste.

Cela reflète notamment une évolution plus générale des risques cybernétiques. Les entreprises privées se retrouvent de plus en plus souvent impliquées dans des conflits géopolitiques, non pas en raison de leurs propres actions, mais en raison de leur lieu d’implantation ou de leurs relations. Dans ce contexte, la frontière entre cybercriminalité et cyberguerre devient de plus en plus floue.

Télécharger cet article sous forme de livre blanc

Pourquoi est-ce important ? Une évolution structurelle des pertes

Les attaques destructrices modifient radicalement la dynamique des pertes. Alors que les ransomwares permettent une récupération (même si celle-ci est coûteuse), ces incidents peuvent réduire à néant toute possibilité de récupération.

Les données peuvent être définitivement perdues, les sauvegardes compromises, et les systèmes peuvent nécessiter une reconstruction complète plutôt qu'une simple restauration. Cette évolution met en évidence une limite majeure de la cyberassurance traditionnelle : la couverture est conçue pour restaurer ce qui existe, et non pour remplacer ce qui a disparu.

Le fossé en matière de couverture : restauration ou récréation ?

La plupart des polices d'assurance sont conçues pour faire face aux attaques par ransomware et aux incidents liés aux logiciels malveillants par le biais de la restauration des données, c'est-à-dire en rétablissant les systèmes dans leur état antérieur au sinistre à l'aide de sauvegardes. Toutefois, lorsque les données sont détruites intentionnellement, la perte porte alors sur la reconstitution de ces données et de la valeur commerciale qui leur est associée, ce qui n'est souvent pas couvert.

Bien qu'il existe des garanties de reconstruction des données, celles-ci ne sont pas courantes et se limitent généralement à certains assureurs. À mesure que ce type d'attaques se généralise, la distinction entre restauration et reconstruction prend de plus en plus d'importance.

Le problème de l'exclusion liée à la guerre : quand l'attribution remet en cause la couverture

Parallèlement, ces événements soulèvent une question structurelle plus complexe : l’applicabilité des exclusions liées à la guerre. Lorsque les attaques sont liées, directement ou indirectement, à des acteurs alignés sur un État, les assureurs peuvent chercher à appliquer des exclusions liées à la guerre ou à des situations assimilables à la guerre. Cependant, les conflits cybernétiques modernes s’inscrivent rarement de manière claire dans les définitions traditionnelles de la guerre. L’attribution est souvent incertaine, et de nombreuses attaques sont menées par des groupes intermédiaires opérant dans une zone grise entre les acteurs étatiques et non étatiques. Cela crée une tension fondamentale :

  1. Ce sont de plus en plus souvent les incidents cybernétiques les plus graves et les plus généralisés qui sont susceptibles de donner lieu à des litiges en matière de couverture d'assurance.
  2. À mesure que les campagnes visant les infrastructures et les entreprises industrielles occidentales prennent de l'ampleur, la question n'est plus de savoir si les clauses d'exclusion en cas de guerre s'appliquent, mais comment elles seront interprétées lorsque les frontières entre les activités étatiques et non étatiques sont délibérément brouillées.

Ce que cela signifie aujourd'hui

L'incident Stryker, ainsi que la tendance générale aux attaques visant des cibles industrielles américaines, mettent en évidence une évolution qui est encore en cours. Le risque cybernétique n'est plus uniquement d'ordre opérationnel ou financier ; il revêt de plus en plus un caractère géopolitique. Pour les entreprises, cela soulève deux questions immédiates :

  1. Si leur couverture intervient en cas de sinistre destructeur nécessitant la recréation des données, et non leur restauration.
  2. Que le libellé de leur police soit clair ou ambigu lorsque les événements sont liés à des acteurs alignés sur l'État.

Conclusion : un risque qui se concrétise, et non un risque hypothétique

Il ne s'agit pas d'un risque futur, mais d'un risque qui prend déjà forme. À mesure que les tactiques évoluent vers la destruction plutôt que vers la perturbation, et que l'attribution des responsabilités devient plus complexe, le fossé entre la manière dont le risque cyber se manifeste et la façon dont il est assuré ne cesse de se creuser. L'affaire Stryker est un premier signe de la direction que prend cette évolution.

Mettez en place un cadre de gouvernance solide en matière d'IA et adaptez vos dispositifs de contrôle aux attentes du marché de l'assurance. Contactez-nous dès aujourd'hui pour bénéficier des conseils d'experts.


Chris Jones

Chargé de clientèle, Sciences de la vie et technologie

Je suis Chris Jones, chargé de clientèle spécialisé dans les sciences de la vie et la technologie chez Axis Insurance. Avec plus de 17 ans d'expérience dans le secteur de l'assurance, j'ai rejoint Axis en 2011, apportant une richesse d'expérience et de connaissances. Mon expertise réside dans la gestion des risques techniques, en particulier dans des secteurs tels que la technologie, la propriété intellectuelle, la fabrication et d'autres risques complexes. Tout au long de ma carrière, j'ai perfectionné mes compétences pour fournir des solutions d'assurance sur mesure qui répondent aux besoins uniques des clients dans ces domaines.

BIOGRAPHIE DE L'AUTEUR

Clive Bird

Premier vice-président, mines et technologie

Clive est un spécialiste des risques d'assurance, un investisseur, un entrepreneur et un développeur de produits pour les risques d'assurance difficiles à placer. Pendant plus de 15 ans, Axis Insurance a joui d'une réputation de qualité, d'innovation, de créativité et d'établissement de relations. Depuis qu'il a vendu la société à une société de courtage de l'Ouest canadien, Clive a continué à soutenir la clientèle d'Axis en développant des produits, en s'engageant à fournir des services et en adoptant une approche imaginative pour trouver des solutions de couverture.

BIOGRAPHIE DE L'AUTEUR